国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

數(shù)據(jù)庫(kù)安全機(jī)制是用于實(shí)現(xiàn)數(shù)據(jù)庫(kù)的各種安全策略的功能集合，正是由這些安全機(jī)制來實(shí)現(xiàn)安全模型，進(jìn)而實(shí)現(xiàn)保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全的目標(biāo)。近年來，對(duì)用戶的認(rèn)證與鑒別、存取控制、數(shù)據(jù)庫(kù)加密及推理控制等安全機(jī)制的研究取得了不少新的進(jìn)展。

用戶標(biāo)識(shí)是指用戶向系統(tǒng)出示自己的身份證明，最簡(jiǎn)單的方法是輸入用戶ID和密碼。標(biāo)識(shí)機(jī)制用于惟一標(biāo)志進(jìn)入系統(tǒng)的每個(gè)用戶的身份，因此必須保證標(biāo)識(shí)的惟一性。鑒別是指系統(tǒng)檢查驗(yàn)證用戶的身份證明，用于檢驗(yàn)用戶身份的合法性。標(biāo)識(shí)和鑒別功能保證了只有合法的用戶才能存取系統(tǒng)中的資源。

由于數(shù)據(jù)庫(kù)用戶的安全等級(jí)是不同的，因此分配給他們的權(quán)限也是不一樣的，數(shù)據(jù)庫(kù)系統(tǒng)必須建立嚴(yán)格的用戶認(rèn)證機(jī)制。身份的標(biāo)識(shí)和鑒別是DBMS對(duì)訪問者授權(quán)的前提，并且通過審計(jì)機(jī)制使DBMS保留追究用戶行為責(zé)任的能力。功能完善的標(biāo)識(shí)與鑒別機(jī)制也是訪問控制機(jī)制有效實(shí)施的基礎(chǔ)，特別是在一個(gè)開放的多用戶系統(tǒng)的網(wǎng)絡(luò)環(huán)境中，識(shí)別與鑒別用戶是構(gòu)筑DBMS安全防線的第1個(gè)重要環(huán)節(jié)。

近年來標(biāo)識(shí)與鑒別技術(shù)發(fā)展迅速，一些實(shí)體認(rèn)證的新技術(shù)在數(shù)據(jù)庫(kù)系統(tǒng)集成中得到應(yīng)用。目前，常用的方法有通行字認(rèn)證、數(shù)字證書認(rèn)證、智能卡認(rèn)證和個(gè)人特征識(shí)別等。

通行字也稱為“口令”或“密碼”，它是一種根據(jù)已知事物驗(yàn)證身份的方法，也是一種最廣泛研究和使用的身份驗(yàn)證法。在數(shù)據(jù)庫(kù)系統(tǒng)中往往對(duì)通行字采取一些控制措施，常見的有最小長(zhǎng)度限制、次數(shù)限定、選擇字符、有效期、雙通行字和封鎖用戶系統(tǒng)等。一般還需考慮通行字的分配和管理，以及在計(jì)算機(jī)中的安全存儲(chǔ)。通行字多以加密形式存儲(chǔ)，攻擊者要得到通行字，必須知道加密算法和密鑰。算法可能是公開的，但密鑰應(yīng)該是秘密的。也有的系統(tǒng)存儲(chǔ)通行字的單向Hash值，攻擊者即使得到密文也難以推出通行字的明文。

數(shù)字證書是認(rèn)證中心頒發(fā)并進(jìn)行數(shù)字簽名的數(shù)字憑證，它實(shí)現(xiàn)實(shí)體身份的鑒別與認(rèn)證、信息完整性驗(yàn)證、機(jī)密性和不可否認(rèn)性等安全服務(wù)。數(shù)字證書可用來證明實(shí)體所宣稱的身份與其持有的公鑰的匹配關(guān)系，使得實(shí)體的身份與證書中的公鑰相互綁定。

智能卡（有源卡、IC卡或Smart卡）作為個(gè)人所有物，可以用來驗(yàn)證個(gè)人身份，典型智能卡主要由微處理器、存儲(chǔ)器、輸入輸出接口、安全邏輯及運(yùn)算處理器等組成。在智能卡中引入了認(rèn)證的概念，認(rèn)證是智能卡和應(yīng)用終端之間通過相應(yīng)的認(rèn)證過程來相互確認(rèn)合法性。在卡和接口設(shè)備之間只有相互認(rèn)證之后才能進(jìn)行數(shù)據(jù)的讀寫操作，目的在于防止偽造應(yīng)用終端及相應(yīng)的智能卡。

根據(jù)被授權(quán)用戶的個(gè)人特征來進(jìn)行確證是一種可信度更高的驗(yàn)證方法，個(gè)人特征識(shí)別應(yīng)用了生物統(tǒng)計(jì)學(xué)（Biometrics）的研究成果，即利用個(gè)人具有惟一性的生理特征來實(shí)現(xiàn)。個(gè)人特征都具有因人而異和隨身攜帶的特點(diǎn)，不會(huì)丟失并且難以偽造，非常適合于個(gè)人身份認(rèn)證。目前已得到應(yīng)用的個(gè)人生理特征包括指紋、語(yǔ)音聲紋（voice- print）、DNA、視網(wǎng)膜、虹膜、臉型和手型等。一些學(xué)者已開始研究基于用戶個(gè)人行為方式的身份識(shí)別技術(shù)，如用戶寫簽名和敲擊鍵盤的方式等。

個(gè)人特征一般需要應(yīng)用多媒體數(shù)據(jù)存儲(chǔ)技術(shù)來建立檔案，相應(yīng)地需要基于多媒體數(shù)據(jù)的壓縮、存儲(chǔ)和檢索等技術(shù)作為支撐。目前已有不少基于個(gè)人特征識(shí)別的身份認(rèn)證系統(tǒng)成功地投入應(yīng)用。如美國(guó)聯(lián)邦調(diào)查局（FBI）成功地將小波理論應(yīng)用于壓縮和識(shí)別指紋圖樣，從而可以將一個(gè)10 MB的指紋圖樣壓縮成500 KB，從而大大減少了數(shù)百萬指紋檔案的存儲(chǔ)空間和檢索時(shí)間。

訪問控制的目的是確保用戶對(duì)數(shù)據(jù)庫(kù)只能進(jìn)行經(jīng)過授權(quán)的有關(guān)操作。在存取控制機(jī)制中，一般把被訪問的資源稱為“客體”，把以用戶名義進(jìn)行資源訪問的進(jìn)程、事務(wù)等實(shí)體稱為“主體”。

傳統(tǒng)的存取控制機(jī)制有兩種，即DAC（Discretionary Access Control，自主存取控制）和MAC（Mandatory Access Control，強(qiáng)制存取控制）。在DAC機(jī)制中，用戶對(duì)不同的數(shù)據(jù)對(duì)象有不同的存取權(quán)限，而且還可以將其擁有的存取權(quán)限轉(zhuǎn)授給其他用戶。DAC訪問控制完全基于訪問者和對(duì)象的身份；MAC機(jī)制對(duì)于不同類型的信息采取不同層次的安全策略，對(duì)不同類型的數(shù)據(jù)來進(jìn)行訪問授權(quán)。在MAC機(jī)制中，存取權(quán)限不可以轉(zhuǎn)授，所有用戶必須遵守由數(shù)據(jù)庫(kù)管理員建立的安全規(guī)則，其中最基本的規(guī)則為“向下讀取，向上寫入”。顯然，與DAC 相比，MAC機(jī)制比較嚴(yán)格。

近年來，RBAC（Role-based Access Control，基于角色的存取控制）得到了廣泛的關(guān)注。RBAC在主體和權(quán)限之間增加了一個(gè)中間橋梁——角色。權(quán)限被授予角色，而管理員通過指定用戶為特定角色來為用戶授權(quán)。從而大大簡(jiǎn)化了授權(quán)管理，具有強(qiáng)大的可操作性和可管理性。角色可以根據(jù)組織中的不同工作創(chuàng)建，然后根據(jù)用戶的責(zé)任和資格分配角色，用戶可以輕松地進(jìn)行角色轉(zhuǎn)換。而隨著新應(yīng)用和新系統(tǒng)的增加，角色可以分配更多的權(quán)限，也可以根據(jù)需要撤銷相應(yīng)的權(quán)限。

RBAC核心模型包含了5個(gè)基本的靜態(tài)集合，即用戶集（users）、角色集（roles）、特權(quán)集  （perms）（包括對(duì)象集（objects）和操作集（operators）），以及一個(gè)運(yùn)行過程中動(dòng)態(tài)維護(hù)的集合，即會(huì)話集（sessions），如圖1-1所示。

圖1-1  RBAC核心模型

用戶集包括系統(tǒng)中可以執(zhí)行操作的用戶，是主動(dòng)的實(shí)體；對(duì)象集是系統(tǒng)中被動(dòng)的實(shí)體，包含系統(tǒng)需要保護(hù)的信息；操作集是定義在對(duì)象上的一組操作，對(duì)象上的一組操作構(gòu)成了一個(gè)特權(quán)；角色則是RBAC模型的核心，通過用戶分配（UA）和特權(quán)分配（PA）使用戶與特權(quán)關(guān)聯(lián)起來。

RBAC屬于策略中立型的存取控制模型，既可以實(shí)現(xiàn)自主存取控制策略，又可以實(shí)現(xiàn)強(qiáng)制存取控制策略。它可以有效緩解傳統(tǒng)安全管理處理瓶頸問題，被認(rèn)為是一種普遍適用的訪問控制模型，尤其適用于大型組織的有效的訪問控制機(jī)制。

2002年，Park. J和Sundhu. R首次提出了UCON（Usage Control，使用控制）的概念。UCON對(duì)傳統(tǒng)的存取控制進(jìn)行了擴(kuò)展，定義了授權(quán)（Authorization）、職責(zé)（Obligation）和條件（Condition）3個(gè)決定性因素，同時(shí)提出了存取控制的連續(xù)性（Continuity）和易變性（Mutability）兩個(gè)重要屬性。UCON集合了傳統(tǒng)的訪問控制、可信管理，以及數(shù)字權(quán)力管理，從而用系統(tǒng)方式提供了一個(gè)保護(hù)數(shù)字資源的統(tǒng)一標(biāo)準(zhǔn)的框架，為下一代存取控制機(jī)制提供了新思路。

由于數(shù)據(jù)庫(kù)在操作系統(tǒng)中以文件形式管理，所以入侵者可以直接利用操作系統(tǒng)的漏洞竊取數(shù)據(jù)庫(kù)文件，或者篡改數(shù)據(jù)庫(kù)文件內(nèi)容。另一方面，數(shù)據(jù)庫(kù)管理員（DBA）可以任意訪問所有數(shù)據(jù)，往往超出了其職責(zé)范圍，同樣造成安全隱患。因此，數(shù)據(jù)庫(kù)的保密問題不僅包括在傳輸過程中采用加密保護(hù)和控制非法訪問，還包括對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密保護(hù)，使得即使數(shù)據(jù)不幸泄露或者丟失，也難以造成泄密。同時(shí)，數(shù)據(jù)庫(kù)加密可以由用戶用自己的密鑰加密自己的敏感信息，而不需要了解數(shù)據(jù)內(nèi)容的數(shù)據(jù)庫(kù)管理員無法進(jìn)行正常解密，從而可以實(shí)現(xiàn)個(gè)性化的用戶隱私保護(hù)。

對(duì)數(shù)據(jù)庫(kù)加密必然會(huì)帶來數(shù)據(jù)存儲(chǔ)與索引、密鑰分配和管理等一系列問題，同時(shí)加密也會(huì)顯著地降低數(shù)據(jù)庫(kù)的訪問與運(yùn)行效率。保密性與可用性之間不可避免地存在沖突，需要妥善解決二者之間的矛盾。

數(shù)據(jù)庫(kù)中存儲(chǔ)密文數(shù)據(jù)后，如何進(jìn)行高效查詢成為一個(gè)重要的問題。查詢語(yǔ)句一般不可以直接運(yùn)用到密文數(shù)據(jù)庫(kù)的查詢過程中，一般的方法是首先解密加密數(shù)據(jù)，然后查詢解密數(shù)據(jù)。但由于要對(duì)整個(gè)數(shù)據(jù)庫(kù)或數(shù)據(jù)表進(jìn)行解密操作，因此開銷巨大。在實(shí)際操作中需要通過有效的查詢策略來直接執(zhí)行密文查詢或較小粒度的快速解密。

一般來說，一個(gè)好的數(shù)據(jù)庫(kù)加密系統(tǒng)應(yīng)該滿足以下幾個(gè)方面的要求。

① 足夠的加密強(qiáng)度，保證長(zhǎng)時(shí)間且大量數(shù)據(jù)不被破譯。

② 加密后的數(shù)據(jù)庫(kù)存儲(chǔ)量沒有明顯的增加。

③ 加解密速度足夠快，影響數(shù)據(jù)操作響應(yīng)時(shí)間盡量短。

④ 加解密對(duì)數(shù)據(jù)庫(kù)的合法用戶操作（如數(shù)據(jù)的增、刪、改等）是透明的。

⑤ 靈活的密鑰管理機(jī)制，加解密密鑰存儲(chǔ)安全，使用方便可靠。

1．?dāng)?shù)據(jù)庫(kù)加密的實(shí)現(xiàn)機(jī)制

數(shù)據(jù)庫(kù)加密的實(shí)現(xiàn)機(jī)制主要研究執(zhí)行加密部件在數(shù)據(jù)庫(kù)系統(tǒng)中所處的層次和位置，通過對(duì)比各種體系結(jié)構(gòu)的運(yùn)行效率、可擴(kuò)展性和安全性，以求得最佳的系統(tǒng)結(jié)構(gòu)。

按照加密部件與數(shù)據(jù)庫(kù)系統(tǒng)的不同關(guān)系，數(shù)據(jù)庫(kù)加密機(jī)制可以從大的方面分為庫(kù)內(nèi)加密和庫(kù)外加密。

（1）庫(kù)內(nèi)加密

庫(kù)內(nèi)加密在DBMS內(nèi)核層實(shí)現(xiàn)加密，加／解密過程對(duì)用戶與應(yīng)用透明，數(shù)據(jù)在物理存取之前完成加／解密工作。

這種方式的優(yōu)點(diǎn)是加密功能強(qiáng)，并且加密功能集成為DBMS的功能，可以實(shí)現(xiàn)加密功能與DBMS之間的無縫耦合。對(duì)于數(shù)據(jù)庫(kù)應(yīng)用來說，庫(kù)內(nèi)加密方式是完全透明的。

庫(kù)內(nèi)加密方式的主要缺點(diǎn)如下。

— 對(duì)系統(tǒng)性能影響比較大，BMS除了完成正常的功能外，還要進(jìn)行加／解密運(yùn)算，從而加重了數(shù)據(jù)庫(kù)服務(wù)器的負(fù)載。

— 密鑰管理風(fēng)險(xiǎn)大，加密密鑰與庫(kù)數(shù)據(jù)保存在服務(wù)器中，其安全性依賴于DBMS的訪問控制機(jī)制。

— 加密功能依賴于數(shù)據(jù)庫(kù)廠商的支持，DBMS一般只提供有限的加密算法與強(qiáng)度可供選擇，自主性受限。

（2）庫(kù)外加密

在庫(kù)外加密方式中，加／解密過程發(fā)生在DBMS之外，DBMS管理的是密文。加／解密過程大多在客戶端實(shí)現(xiàn)，也有的由專門的加密服務(wù)器或硬件完成。

與庫(kù)內(nèi)加密方式相比，庫(kù)外加密的明顯優(yōu)點(diǎn)如下。

— 由于加／解密過程在客戶端或?qū)ｉT的加密服務(wù)器實(shí)現(xiàn)，所以減少了數(shù)據(jù)庫(kù)服務(wù)器與DBMS的運(yùn)行負(fù)擔(dān)。

— 可以將加密密鑰與所加密的數(shù)據(jù)分開保存，提高了安全性。

— 由客戶端與服務(wù)器的配合，可以實(shí)現(xiàn)端到端的網(wǎng)上密文傳輸。

庫(kù)外加密的主要缺點(diǎn)是加密后的數(shù)據(jù)庫(kù)功能受到一些限制，例如加密后的數(shù)據(jù)無法正常索引。同時(shí)數(shù)據(jù)加密后也會(huì)破壞原有的關(guān)系數(shù)據(jù)的完整性與一致性，這些都會(huì)給數(shù)據(jù)庫(kù)應(yīng)用帶來影響。

在目前新興的外包數(shù)據(jù)庫(kù)服務(wù)模式中，數(shù)據(jù)庫(kù)服務(wù)器由非可信的第三方提供，僅用來運(yùn)行標(biāo)準(zhǔn)的DBMS，要求加密解密都在客戶端完成。因此，庫(kù)外加密方式受到越來越多研究者的關(guān)注。

2．?dāng)?shù)據(jù)庫(kù)加密的粒度

一般來說，數(shù)據(jù)庫(kù)加密的粒度可以有4種，即表、屬性、記錄和數(shù)據(jù)元素。不同加密粒度的特點(diǎn)不同，總的來說，加密粒度越小，則靈活性越好且安全性越高，但實(shí)現(xiàn)技術(shù)也更為復(fù)雜，對(duì)系統(tǒng)的運(yùn)行效率影響也越大。

（1）表加密

表級(jí)加密的對(duì)象是整個(gè)表，這種加密方法類似于操作系統(tǒng)中文件加密的方法。即每個(gè)表與不同的表密鑰運(yùn)算，形成密文后存儲(chǔ)。這種方式最為簡(jiǎn)單，但因?yàn)閷?duì)表中任何記錄或數(shù)據(jù)項(xiàng)的訪問都需要將其所在表的所有數(shù)據(jù)快速解密，因而執(zhí)行效率很低，浪費(fèi)了大量的系統(tǒng)資源。在目前的實(shí)際應(yīng)用中，這種方法基本已被放棄。

（2）屬性加密

屬性加密又稱為“域加密”或“字段加密”，即以表中的列為單位進(jìn)行加密。一般而言，屬性的個(gè)數(shù)少于記錄的條數(shù)，需要的密鑰數(shù)相對(duì)較少。如果只有少數(shù)屬性需要加密，屬性加密是可選的方法。

（3）記錄加密

記錄加密是把表中的一條記錄作為加密的單位，當(dāng)數(shù)據(jù)庫(kù)中需要加密的記錄數(shù)比較少時(shí)，采用這種方法是比較好的。

（4）數(shù)據(jù)元素加密

數(shù)據(jù)元素加密是以記錄中每個(gè)字段的值為單位進(jìn)行加密，數(shù)據(jù)元素是數(shù)據(jù)庫(kù)中最小的加密粒度。采用這種加密粒度，系統(tǒng)的安全性與靈活性最高，同時(shí)實(shí)現(xiàn)技術(shù)也最為復(fù)雜。不同的數(shù)據(jù)項(xiàng)使用不同的密鑰，相同的明文形成不同的密文，抗攻擊能力得到提高。不利的方面是，該方法需要引入大量的密鑰。一般要周密設(shè)計(jì)自動(dòng)生成密鑰的算法，密鑰管理的復(fù)雜度大大增加，同時(shí)系統(tǒng)效率也受到影響。

在目前條件下，為了得到較高的安全性和靈活性，采用最多的加密粒度是數(shù)據(jù)元素。為了使數(shù)據(jù)庫(kù)中的數(shù)據(jù)能夠充分而靈活地共享，加密后還應(yīng)當(dāng)允許用戶以不同的粒度進(jìn)行訪問。

3．加密算法

加密算法是數(shù)據(jù)加密的核心，一個(gè)好的加密算法產(chǎn)生的密文應(yīng)該頻率平衡，隨機(jī)無重碼，周期很長(zhǎng)而又不可能產(chǎn)生重復(fù)現(xiàn)象。竊密者很難通過對(duì)密文頻率，或者重碼等特征的分析獲得成功。同時(shí)，算法必須適應(yīng)數(shù)據(jù)庫(kù)系統(tǒng)的特性，加／解密，尤其是解密響應(yīng)迅速。

常用的加密算法包括對(duì)稱密鑰算法和非對(duì)稱密鑰算法。

對(duì)稱密鑰算法的特點(diǎn)是解密密鑰和加密密鑰相同，或解密密鑰由加密密鑰推出。這種算法一般又可分為兩類，即序列算法和分組算法。序列算法一次只對(duì)明文中的單個(gè)位或字節(jié)運(yùn)算；分組算法是對(duì)明文分組后以組為單位進(jìn)行運(yùn)算，常用有DES等。

非對(duì)稱密鑰算法也稱為“公開密鑰算法”，其特點(diǎn)是解密密鑰不同于加密密鑰，并且從解密密鑰推出加密密鑰在計(jì)算上是不可行的。其中加密密鑰公開，解密密鑰則是由用戶秘密保管的私有密鑰。常用的公開密鑰算法有RSA等。

目前還沒有公認(rèn)的專門針對(duì)數(shù)據(jù)庫(kù)加密的加密算法，因此一般根據(jù)數(shù)據(jù)庫(kù)特點(diǎn)選擇現(xiàn)有的加密算法來進(jìn)行數(shù)據(jù)庫(kù)加密。一方面，對(duì)稱密鑰算法的運(yùn)算速度比非對(duì)稱密鑰算法快很多，二者相差大約2~3個(gè)數(shù)量級(jí)；另一方面，在公開密鑰算法中，每個(gè)用戶有自己的密鑰對(duì)。而作為數(shù)據(jù)庫(kù)加密的密鑰如果因人而異，將產(chǎn)生異常龐大的數(shù)據(jù)存儲(chǔ)量。因此，在數(shù)據(jù)庫(kù)加密中一般采取對(duì)稱密鑰的分組加密算法。

4．密鑰管理

對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密，一般對(duì)不同的加密單元采用不同的密鑰。以加密粒度為數(shù)據(jù)元素為例，如果不同的數(shù)據(jù)元素采用同一個(gè)密鑰，由于同一屬性中數(shù)據(jù)項(xiàng)的取值在一定范圍之內(nèi)，且往往呈現(xiàn)一定的概率分布，因此攻擊者可以不用求原文，而直接通過統(tǒng)計(jì)方法即可得到有關(guān)的原文信息，這就是所謂的統(tǒng)計(jì)攻擊。

大量的密鑰自然會(huì)帶來密鑰管理的問題。根據(jù)加密粒度的不同，系統(tǒng)所產(chǎn)生的密鑰數(shù)量也不同。越是細(xì)小的加密粒度，所產(chǎn)生的密鑰數(shù)量越多，密鑰管理也就越復(fù)雜。良好的密鑰管理機(jī)制既可以保證數(shù)據(jù)庫(kù)信息的安全性，又可以進(jìn)行快速的密鑰交換，以便進(jìn)行數(shù)據(jù)解密。

對(duì)數(shù)據(jù)庫(kù)密鑰的管理一般有集中密鑰管理和多級(jí)密鑰管理兩種體制，集中密鑰管理方法是設(shè)立密鑰管理中心。在建立數(shù)據(jù)庫(kù)時(shí)，密鑰管理中心負(fù)責(zé)產(chǎn)生密鑰并對(duì)數(shù)據(jù)加密，形成一張密鑰表。當(dāng)用戶訪問數(shù)據(jù)庫(kù)時(shí)，密鑰管理機(jī)構(gòu)核對(duì)用戶識(shí)別符和用戶密鑰。通過審核后，由密鑰管理機(jī)構(gòu)找到或計(jì)算出相應(yīng)的數(shù)據(jù)密鑰。這種密鑰管理方式方便用戶使用和管理，但由于這些密鑰一般由數(shù)據(jù)庫(kù)管理人員控制，因而權(quán)限過于集中。

目前研究和應(yīng)用比較多的是多級(jí)密鑰管理體制，以加密粒度為數(shù)據(jù)元素的三級(jí)密鑰管理體制為例，整個(gè)系統(tǒng)的密鑰由一個(gè)主密鑰、每個(gè)表上的表密鑰，以及各個(gè)數(shù)據(jù)元素密鑰組成。表密鑰被主密鑰加密后以密文形式保存在數(shù)據(jù)字典中，數(shù)據(jù)元素密鑰由主密鑰及數(shù)據(jù)元素所在行、列通過某種函數(shù)自動(dòng)生成，一般不需要保存。在多級(jí)密鑰體制中，主密鑰是加密子系統(tǒng)的關(guān)鍵，系統(tǒng)的安全性在很大程度上依賴于主密鑰的安全性。

5．?dāng)?shù)據(jù)庫(kù)加密的局限性

數(shù)據(jù)庫(kù)加密技術(shù)在保證安全性的同時(shí)，也給數(shù)據(jù)庫(kù)系統(tǒng)的可用性帶來一些影響。

（1）系統(tǒng)運(yùn)行效率受到影響

數(shù)據(jù)庫(kù)加密技術(shù)帶來的主要問題之一是影響效率。為了減少這種影響，一般對(duì)加密的范圍做一些約束，如不加密索引字段和關(guān)系運(yùn)算的比較字段等。

（2）難以實(shí)現(xiàn)對(duì)數(shù)據(jù)完整性約束的定義

數(shù)據(jù)庫(kù)一般都定義了關(guān)系數(shù)據(jù)之間的完整性約束，如主／外鍵約束及值域的定義等。數(shù)據(jù)一旦加密，DBMS將難以實(shí)現(xiàn)這些約束。

（3）對(duì)數(shù)據(jù)的SQL語(yǔ)言及SQL函數(shù)受到制約

SQL語(yǔ)言中的Group by、Order by及Having子句分別完成分組和排序等操作，如果這些子句的操作對(duì)象是加密數(shù)據(jù)，那么解密后的明文數(shù)據(jù)將失去原語(yǔ)句的分組和排序作用。另外，DBMS擴(kuò)展的SQL內(nèi)部函數(shù)一般也不能直接作用于密文數(shù)據(jù)。

（4）密文數(shù)據(jù)容易成為攻擊目標(biāo)

加密技術(shù)把有意義的明文轉(zhuǎn)換為看上去沒有實(shí)際意義的密文信息，但密文的隨機(jī)性同時(shí)也暴露了消息的重要性，容易引起攻擊者的注意和破壞，從而造成了一種新的不安全性。加密技術(shù)往往需要和其他非加密安全機(jī)制相結(jié)合，以提高數(shù)據(jù)庫(kù)系統(tǒng)的整體安全性。

數(shù)據(jù)庫(kù)加密作為一種對(duì)敏感數(shù)據(jù)進(jìn)行安全保護(hù)的有效手段，將得到越來越多的重視?？傮w來說，目前數(shù)據(jù)庫(kù)加密技術(shù)還面臨許多挑戰(zhàn)，其中解決保密性與可用性之間的矛盾是關(guān)鍵。

數(shù)據(jù)庫(kù)審計(jì)是指監(jiān)視和記錄用戶對(duì)數(shù)據(jù)庫(kù)所施加的各種操作的機(jī)制。按照美國(guó)國(guó)防部TCSEC/TDI標(biāo)準(zhǔn)中關(guān)于安全策略的要求，審計(jì)功能是數(shù)據(jù)庫(kù)系統(tǒng)達(dá)到C2以上安全級(jí)別必不可少的一項(xiàng)指標(biāo)。

審計(jì)功能自動(dòng)記錄用戶對(duì)數(shù)據(jù)庫(kù)的所有操作，并且存入審計(jì)日志。事后可以利用這些信息重現(xiàn)導(dǎo)致數(shù)據(jù)庫(kù)現(xiàn)有狀況的一系列事件，提供分析攻擊者線索的依據(jù)。

數(shù)據(jù)庫(kù)管理系統(tǒng)的審計(jì)主要分為語(yǔ)句審計(jì)、特權(quán)審計(jì)、模式對(duì)象審計(jì)和資源審計(jì)，語(yǔ)句審計(jì)是指監(jiān)視一個(gè)或者多個(gè)特定用戶或者所有用戶提交的SQL語(yǔ)句；特權(quán)審計(jì)是指監(jiān)視一個(gè)或者多個(gè)特定用戶或者所有用戶使用的系統(tǒng)特權(quán)；模式對(duì)象審計(jì)是指監(jiān)視一個(gè)模式中在一個(gè)或者多個(gè)對(duì)象上發(fā)生的行為；資源審計(jì)是指監(jiān)視分配給每個(gè)用戶的系統(tǒng)資源。

審計(jì)機(jī)制應(yīng)該至少記錄用戶標(biāo)識(shí)和認(rèn)證、客體訪問、授權(quán)用戶進(jìn)行并會(huì)影響系統(tǒng)安全的操作，以及其他安全相關(guān)事件。對(duì)于每個(gè)記錄的事件，審計(jì)記錄中需要包括事件時(shí)間、用戶、時(shí)間類型、事件數(shù)據(jù)和事件的成功／失敗情況。對(duì)于標(biāo)識(shí)和認(rèn)證事件，必須記錄事件源的終端ID和源地址等；對(duì)于訪問和刪除對(duì)象的事件，則需要記錄對(duì)象的名稱。

審計(jì)的策略庫(kù)一般由兩個(gè)方面因素構(gòu)成，即數(shù)據(jù)庫(kù)本身可選的審計(jì)規(guī)則和管理員設(shè)計(jì)的觸發(fā)策略機(jī)制。當(dāng)這些審計(jì)規(guī)則或策略機(jī)制一旦被觸發(fā)，則將引起相關(guān)的表操作。這些表可能是數(shù)據(jù)庫(kù)自定義的，也可能是管理員另外定義的，最終這些審計(jì)的操作都將被記錄在特定的表中以備查證。一般地，將審計(jì)跟蹤和數(shù)據(jù)庫(kù)日志記錄結(jié)合起來，會(huì)達(dá)到更好的安全審計(jì)效果。

對(duì)于審計(jì)粒度與審計(jì)對(duì)象的選擇，需要考慮系統(tǒng)運(yùn)行效率與存儲(chǔ)空間消耗的問題。為了達(dá)到審計(jì)目的，一般必須審計(jì)到對(duì)數(shù)據(jù)庫(kù)記錄與字段一級(jí)的訪問。但這種小粒度的審計(jì)需要消耗大量的存儲(chǔ)空間，同時(shí)使系統(tǒng)的響應(yīng)速度降低，給系統(tǒng)運(yùn)行效率帶來影響。

一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)總是避免不了故障的發(fā)生。安全的數(shù)據(jù)庫(kù)系統(tǒng)必須能在系統(tǒng)發(fā)生故障后利用已有的數(shù)據(jù)備份，恢復(fù)數(shù)據(jù)庫(kù)到原來的狀態(tài)，并保持?jǐn)?shù)據(jù)的完整性和一致性。數(shù)據(jù)庫(kù)系統(tǒng)所采用的備份與恢復(fù)技術(shù)，對(duì)系統(tǒng)的安全性與可靠性起著重要作用，也對(duì)系統(tǒng)的運(yùn)行效率有著重大影響。

1．?dāng)?shù)據(jù)庫(kù)備份

常用的數(shù)據(jù)庫(kù)備份的方法有如下3種。

（1）冷備份

冷備份是在沒有終端用戶訪問數(shù)據(jù)庫(kù)的情況下關(guān)閉數(shù)據(jù)庫(kù)并將其備份，又稱為“脫機(jī)備份”。這種方法在保持?jǐn)?shù)據(jù)完整性方面顯然最有保障，但是對(duì)于那些必須保持每天24小時(shí)、每周7天全天候運(yùn)行的數(shù)據(jù)庫(kù)服務(wù)器來說，較長(zhǎng)時(shí)間地關(guān)閉數(shù)據(jù)庫(kù)進(jìn)行備份是不現(xiàn)實(shí)的。

（2）熱備份

熱備份是指當(dāng)數(shù)據(jù)庫(kù)正在運(yùn)行時(shí)進(jìn)行的備份，又稱為“聯(lián)機(jī)備份”。因?yàn)閿?shù)據(jù)備份需要一段時(shí)間，而且備份大容量的數(shù)據(jù)庫(kù)還需要較長(zhǎng)的時(shí)間，那么在此期間發(fā)生的數(shù)據(jù)更新就有可能使備份的數(shù)據(jù)不能保持完整性，這個(gè)問題的解決依賴于數(shù)據(jù)庫(kù)日志文件。在備份時(shí)，日志文件將需要進(jìn)行數(shù)據(jù)更新的指令“堆起來”，并不進(jìn)行真正的物理更新，因此數(shù)據(jù)庫(kù)能被完整地備份。備份結(jié)束后，系統(tǒng)再按照被日志文件“堆起來”的指令對(duì)數(shù)據(jù)庫(kù)進(jìn)行真正的物理更新?？梢姡粋浞莸臄?shù)據(jù)保持了備份開始時(shí)刻前的數(shù)據(jù)一致性狀態(tài)。

熱備份操作存在如下不利因素。

— 如果系統(tǒng)在進(jìn)行備份時(shí)崩潰，則堆在日志文件中的所有事務(wù)都會(huì)被丟失，即造成數(shù)據(jù)的丟失。

— 在進(jìn)行熱備份的過程中，如果日志文件占用系統(tǒng)資源過大，如將系統(tǒng)存儲(chǔ)空間占用完，會(huì)造成系統(tǒng)不能接受業(yè)務(wù)請(qǐng)求的局面，對(duì)系統(tǒng)運(yùn)行產(chǎn)生影響。

— 熱備份本身要占用相當(dāng)一部分系統(tǒng)資源，使系統(tǒng)運(yùn)行效率下降。

（3）邏輯備份

邏輯備份是指使用軟件技術(shù)從數(shù)據(jù)庫(kù)中導(dǎo)出數(shù)據(jù)并寫入一個(gè)輸出文件，該文件的格式一般與原數(shù)據(jù)庫(kù)的文件格式不同，而是原數(shù)據(jù)庫(kù)中數(shù)據(jù)內(nèi)容的一個(gè)映像。因此邏輯備份文件只能用來對(duì)數(shù)據(jù)庫(kù)進(jìn)行邏輯恢復(fù)，即數(shù)據(jù)導(dǎo)入，而不能按數(shù)據(jù)庫(kù)原來的存儲(chǔ)特征進(jìn)行物理恢復(fù)。邏輯備份一般用于增量備份，即備份那些在上次備份以后改變的數(shù)據(jù)。

2．?dāng)?shù)據(jù)庫(kù)恢復(fù)

在系統(tǒng)發(fā)生故障后，把數(shù)據(jù)庫(kù)恢復(fù)到原來的某種一致性狀態(tài)的技術(shù)稱為“恢復(fù)”，其基本原理是利用“冗余”進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)。問題的關(guān)鍵是如何建立“冗余”并利用“冗余”實(shí)施數(shù)據(jù)庫(kù)恢復(fù)，即恢復(fù)策略。

數(shù)據(jù)庫(kù)恢復(fù)技術(shù)一般有3種策略，即基于備份的恢復(fù)、基于運(yùn)行時(shí)日志的恢復(fù)和基于鏡像數(shù)據(jù)庫(kù)的恢復(fù)。

（1）基于備份的恢復(fù)

基于備份的恢復(fù)是指周期性地備份數(shù)據(jù)庫(kù)。當(dāng)數(shù)據(jù)庫(kù)失效時(shí)，可取最近一次的數(shù)據(jù)庫(kù)備份來恢復(fù)數(shù)據(jù)庫(kù)，即把備份的數(shù)據(jù)拷貝到原數(shù)據(jù)庫(kù)所在的位置上。用這種方法，數(shù)據(jù)庫(kù)只能恢復(fù)到最近一次備份的狀態(tài)，而從最近備份到故障發(fā)生期間的所有數(shù)據(jù)庫(kù)更新將會(huì)丟失。備份的周期越長(zhǎng)，丟失的更新數(shù)據(jù)越多。

（2）基于運(yùn)行時(shí)日志的恢復(fù)

運(yùn)行時(shí)日志文件是用來記錄對(duì)數(shù)據(jù)庫(kù)每一次更新的文件。對(duì)日志的操作優(yōu)先于對(duì)數(shù)據(jù)庫(kù)的操作，以確保記錄數(shù)據(jù)庫(kù)的更改。當(dāng)系統(tǒng)突然失效而導(dǎo)致事務(wù)中斷時(shí)，可重新裝入數(shù)據(jù)庫(kù)的副本，把數(shù)據(jù)庫(kù)恢復(fù)到上一次備份時(shí)的狀態(tài)。然后系統(tǒng)自動(dòng)正向掃描日志文件，將故障發(fā)生前所有提交的事務(wù)放到重做隊(duì)列，將未提交的事務(wù)放到撤銷隊(duì)列執(zhí)行，這樣就可把數(shù)據(jù)庫(kù)恢復(fù)到故障前某一時(shí)刻的數(shù)據(jù)一致性狀態(tài)。

（3）基于鏡像數(shù)據(jù)庫(kù)的恢復(fù)

數(shù)據(jù)庫(kù)鏡像就是在另一個(gè)磁盤上復(fù)制數(shù)據(jù)庫(kù)作為實(shí)時(shí)副本。當(dāng)主數(shù)據(jù)庫(kù)更新時(shí)，DBMS自動(dòng)把更新后的數(shù)據(jù)復(fù)制到鏡像數(shù)據(jù)，始終使鏡像數(shù)據(jù)和主數(shù)據(jù)保持一致性。當(dāng)主庫(kù)出現(xiàn)故障時(shí)，可由鏡像磁盤繼續(xù)提供使用，同時(shí)DBMS自動(dòng)利用鏡像磁盤數(shù)據(jù)進(jìn)行數(shù)據(jù)庫(kù)恢復(fù)。鏡像策略可以使數(shù)據(jù)庫(kù)的可靠性大為提高，但由于數(shù)據(jù)鏡像通過復(fù)制數(shù)據(jù)實(shí)現(xiàn)，頻繁的復(fù)制會(huì)降低系統(tǒng)運(yùn)行效率，因此一般在對(duì)效率要求滿足的情況下可以使用。為兼顧可靠性和可用性，可有選擇性地鏡像關(guān)鍵數(shù)據(jù)。

數(shù)據(jù)庫(kù)的備份和恢復(fù)是一個(gè)完善的數(shù)據(jù)庫(kù)系統(tǒng)必不可少的一部分，目前這種技術(shù)已經(jīng)廣泛應(yīng)用于數(shù)據(jù)庫(kù)產(chǎn)品中，如Oracle數(shù)據(jù)庫(kù)提供對(duì)聯(lián)機(jī)備份、脫機(jī)備份、邏輯備份、完全數(shù)據(jù)恢復(fù)及不完全數(shù)據(jù)恢復(fù)的全面支持。據(jù)預(yù)測(cè)，以“數(shù)據(jù)”為核心的計(jì)算（Data Centric Computing）將逐漸取代以“應(yīng)用”為核心的計(jì)算。在一些大型的分布式數(shù)據(jù)庫(kù)應(yīng)用中，多備份恢復(fù)和基于數(shù)據(jù)中心的異地容災(zāi)備份恢復(fù)等技術(shù)正在得到越來越多的應(yīng)用。

數(shù)據(jù)庫(kù)安全中的推理是指用戶根據(jù)低密級(jí)的數(shù)據(jù)和模式的完整性約束推導(dǎo)出高密級(jí)的數(shù)據(jù)，造成未經(jīng)授權(quán)的信息泄露，這種推理的路徑稱為“推理通道”（Inference Channel）。近年來隨著外包數(shù)據(jù)庫(kù)模式及數(shù)據(jù)挖掘技術(shù)的發(fā)展，對(duì)數(shù)據(jù)庫(kù)推理控制（Inference Control）和隱私保護(hù)（Privacy Protection）的要求也越來越高。

1．推理通道

常見的推理通道有以下4種。

① 執(zhí)行多次查詢，利用查詢結(jié)果之間的邏輯聯(lián)系進(jìn)行推理。用戶一般先向數(shù)據(jù)庫(kù)發(fā)出多個(gè)查詢請(qǐng)求，這些查詢大多包含一些聚集類型的函數(shù)（如合計(jì)和平均值等）。然后利用返回的查詢結(jié)果，在綜合分析的基礎(chǔ)上推斷出高級(jí)數(shù)據(jù)信息。

② 利用不同級(jí)別數(shù)據(jù)之間的函數(shù)依賴進(jìn)行推理分析，數(shù)據(jù)表的屬性之間常見的一種關(guān)系是“函數(shù)依賴”和“多值依賴”。這些依賴關(guān)系有可能產(chǎn)生推理通道，如同一病房的病人患的是同一種病，以及由參加會(huì)議的人員可以推得參與會(huì)議的公司等。

③ 利用數(shù)據(jù)完整性約束進(jìn)行推理，例如關(guān)系數(shù)據(jù)庫(kù)的實(shí)體完整性要求每一個(gè)元組必須有一個(gè)惟一的鍵。當(dāng)一個(gè)低安全級(jí)的用戶想在一個(gè)關(guān)系中插入一個(gè)元組，并且這個(gè)關(guān)系中已經(jīng)存在一個(gè)具有相同鍵值的高安全級(jí)元組，那么為了維護(hù)實(shí)體的完整性，DBMS會(huì)采取相應(yīng)的限制措施。低級(jí)用戶由此可以推出高級(jí)數(shù)據(jù)的存在，這就產(chǎn)生了一條推理通道。

④ 利用分級(jí)約束進(jìn)行推理。一條分級(jí)約束是一條規(guī)則，它描述了對(duì)數(shù)據(jù)進(jìn)行分級(jí)的標(biāo)準(zhǔn)。如果這些分級(jí)標(biāo)準(zhǔn)被用戶獲知的話，用戶有可能從這些約束自身推導(dǎo)出敏感數(shù)據(jù)。

2．推理控制

迄今為止，推理通道問題仍處于理論探索階段，沒有一個(gè)一勞永逸的解決方法，這是由推理通道問題本身的多樣性與不確定性所決定的。目前常用的推理控制方法可以分為兩類，第1類是在數(shù)據(jù)庫(kù)設(shè)計(jì)時(shí)找出推理通道，主要包括利用語(yǔ)義數(shù)據(jù)模型的方法和形式化的方法。這類方法都是分析數(shù)據(jù)庫(kù)的模式，然后修改數(shù)據(jù)庫(kù)設(shè)計(jì)或者提高一些數(shù)據(jù)項(xiàng)的安全級(jí)別來消除推理通道；第2類方法是在數(shù)據(jù)庫(kù)運(yùn)行時(shí)找出推理通道，主要包括多實(shí)例方法和查詢修改方法。

IBM Almaden研究中心的Kristen LeFevre等基于推理控制方法實(shí)現(xiàn)了一個(gè)隱私保護(hù)數(shù)據(jù)庫(kù)原型系統(tǒng)，該模型應(yīng)用于Hippocratic數(shù)據(jù)庫(kù)取得了較好的隱私保護(hù)效果，是目前所知的最為典型和最為成功的隱私保護(hù)數(shù)據(jù)庫(kù)系統(tǒng)。系統(tǒng)建立了信息泄露的表語(yǔ)義與查詢語(yǔ)義模型，通過修改SQL語(yǔ)言查詢條件的方法來進(jìn)行查詢預(yù)處理，實(shí)現(xiàn)了數(shù)據(jù)元素粒度的推理控制，其體系結(jié)構(gòu)如圖1-2所示。

圖1-2  基于推理控制的隱私保護(hù)數(shù)據(jù)庫(kù)體系結(jié)構(gòu)

這個(gè)模型主要通過對(duì)SQL查詢語(yǔ)句的擴(kuò)展，用Case和Join語(yǔ)句替換查詢來實(shí)現(xiàn)推理控制。經(jīng)過對(duì)隱私策略規(guī)則的定義和執(zhí)行，用戶可以自己決定涉及自身隱私數(shù)據(jù)的訪問策略。而數(shù)據(jù)庫(kù)可以控制未經(jīng)授權(quán)用戶對(duì)敏感數(shù)據(jù)的訪問，這樣有效地實(shí)現(xiàn)了隱私保護(hù)。

以上探討了數(shù)據(jù)庫(kù)的多種安全機(jī)制，有必要說明的是這些安全技術(shù)不是相互獨(dú)立的，而是彼此依賴并相互支持的。存取控制的正確性依賴于安全的用戶標(biāo)識(shí)和鑒別機(jī)制，用戶標(biāo)識(shí)和鑒別機(jī)制也是入侵檢測(cè)和審計(jì)的基礎(chǔ)。存取控制是數(shù)據(jù)庫(kù)安全最基本，也是最核心的措施，數(shù)據(jù)庫(kù)加密在帶來更高安全性的同時(shí)必然帶來運(yùn)行效率和可用性的降低。折中的結(jié)果是部分敏感信息加密，為此需要推理控制和隱私保護(hù)手段的有效配合。所謂未雨綢繆，有備無患，備份是幾乎所有數(shù)據(jù)庫(kù)必需的日常維護(hù)工作，是數(shù)據(jù)庫(kù)恢復(fù)的前提；恢復(fù)則是數(shù)據(jù)庫(kù)安全的最后一道屏障，亡羊補(bǔ)牢，為時(shí)未晚。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。